خدمات اسپلانک قابل ارائه به مراکز عملیات امنیت

اسپلانک یکی از بهترین محصولات جمع آوری، تحلیل و بصری‌سازی انواع داده‌ها است. شرکت اسپلانک ابتدا در سال ۲۰۰۳ با شعار پردازش هر نوع داده تولید شده توسط ماشین پا به عرصه رقابت محصولات مدیریت داده گذاشت و پس از مدت بسیار محدودی با خریداری استارتاپ‌های متعدد در این حوزه توانست به عنوان بهترین ابزار مدیریت لاگ مطرح گردد. این شرکت محصولات متعددی در حوزه‌ی امنیت شبکه ارائه می‌دهد که از جمله آنها می‌توان به Enterprise Security ،User Behavior Analytics و Phantom اشاره کرد. مهم‌ترین ابزار حوزه‌ی امنیت شبکه آن که طبق آخرین گزارش ارائه شده توسط موسسه تحقیقاتی گارتنر به عنوان پرچمدار محصولات حوزه SIEM می باشد، محصول Enterprise Security است.

این محصول قابلیت استقرار در محیط‌های کوچک تا بنگاه‌های تجاری بزرگ را دارد و به دلیل به مقیاس‌پذیری، برای طیف وسیعی از مشتریان قابل استفاده است.

نمایی از اسپلانک

سورین به پشتوانه‌ی تجارب خود در این حوزه و با بهره‌گیری از متخصصان مجرب در حوزه‌ی راه‌اندازی، پشتیبانی و مشاوره‌، آماده‌ی ارائه خدمات به کلیه مجموعه ها است. اهم خدمات قابل ارائه در حوزه‌ی راه‌اندازی مراکز عملیات امنیت با بهره‌گیری از زیرساخت مبتنی بر محصولات اسپلانک به شرح زیر است:

راه‌اندازی مراکز عملیات امنیت مبتنی بر Splunk

اسپلانک انعطاف‌پذیری بسیار بالایی به لحاظ نحوه‌ی استقرار دارد. معماری استقرار این ابزار باید با توجه به مقیاس سازمان، نوع نیازمندی، حجم داده‌های ورودی، تعداد کاربران و سیاست‌های آرشیو داده‌ها طراحی و پیاده‌سازی شود.

برای هر سازمان می‌توان از یک مقیاس کوچک شروع کرد و متناسب با رشد داده‌ها و توسعه‌ی استفاده از آن، مقیاس استقرار را گسترش داد. اما دیزاین و پیاده‌ سازی آن برای بنگاه‌های تجاری بزرگ مستلزم شناخت کافی از نیازمندی‌های سازمانی و در نظر گرفتن چشم‌انداز آتی سازمان است. متخصصین شرکت سورین با توجه به تجارب استقرار Splunk در محیط‌های متنوع می‌توانند شما را در طراحی معماری متناسب با نیازمندی‌هایتان راهنمایی کنند. همچنین پروژه‌ی راه‌اندازی مرکز عملیات امنیت را در هر مقیاسی از صفر تا صد انجام دهند و همواره کنارتان باشند.

امکان تامین کلیه‌ی افزونه‌های تجاری Splunk و لایسنس‌های اشتراکی یا اختصاصی با توجه به سیاست‌های سازمانی وجود دارد. سورین تجارب فراوانی در راه‌اندازی این محصول برای مراکز عملیات امنیت دارد:

  • راه‌اندازی با حداقل منابع سخت‌افزاری برای شرکت‌های کوچک
  • پیاده سازی به صورت Clustering برای شرکت های متوسط و بزرگ
  • تامین دسترس‌پذیری بسیار بالا و پراکندگی جغرافیایی

ارزیابی و بهینه‌سازی Splunk مستقر

این SIEM دارای انعطاف‌پذیری بالایی است اما استفاده از آن در SOCها مستلزم شناخت پیچیدگی‌ و نیازمندی‌های مراکز و دانش کافی این محصول می‌باشد. طراحی دقیق معماری ضمن افزایش بهره‌وری منابع در نظر گرفته شده برای این ابزار، کیفیت پاسخگویی و تجربه‌ی کاربری را نیز بهبود خواهد بخشید. بهینه‌سازی ابعاد مختلف طراحی و معماری، پیاده‌سازی و اجرای گزارش‌ها و پرس‌وجوها تاثیر چشم‌گیری در کارایی اسپلانک دارد. مهم‌ترین بهینه‌سازی‌ها در حوزه‌های زیر انجام می‌شوند:

  • ذخیره‌سازی فیزیکی داده‌ها
  • ذخیره‌سازی منطقی داده‌ها
  • جمع‌آوری و ارسال رخدادها
  • پرس‌وجوهای پرکاربرد
  • گزارش‌های زمان‌بندی شده
  • پیکربندی هشدارها
  • رابط کاربری و داشبوردها

توسعه‌ی افزونه‌های اختصاصی امنیت شبکه

یکی از مهم‌ترین ویژگی‌های اسپلانک امکان طراحی افزونه‌های مختلف برای آن است که انعطاف‌پذیری آن را افزایش می‌دهند. افزونه‌ها به سه دسته تقسیم می‌شوند:

  • وابسته به کاربرد (Domain add-ons/DA): معمولا حاوی داشبوردها، ماکروها، جستجوهای ذخیره شده و گزارش‌های زمان‌بندی شده هستند.
  • فناوری (Technology add-ons/TA): اغلب امکاناتی را برای جمع‌آوری، آماده‌سازی، و نرمال‌سازی داده‌ها فراهم می‌کنند.
  • پشتیبان (Supporting add-ons/SA): حاوی مجموعه‌ای از موارد موجود در افزونه‌های DA و TA هستند.

فناوری راه نو سورین با بهره‌گیری از کارشناسان توانمند، امکان ارائه‌ی خدمت در زمینه‌ی توسعه‌ی انواع افزونه‌های فوق، جهت یکپارچه‌سازی اسپلانک با کلیه سامانه‌های بومی یا خاص منظوره را دارد.

راهبری و پشتیبانی زیرساخت توزیع شده‌ی اسپلانک

حرف اول را در راهبری هر سامانه‌ای، آشنایی دقیق با معماری، مولفه‌ها و قابلیت‌های آن سامانه و همچنین تجربه کافی در شرایط مشابه می‌زند. از طرفی با توجه به تحریم‌های موجود امکان ارتباط مستقیم و آسان با تیم پشتیبانی اسپلانک برای کاربران ایرانی فراهم نیست. اما با توجه به تجربه و دانش کارشناسان شرکت سورین، امکان ارائه‌ی انواع خدمات راهبری و پشتیبانی کلاستر با اعزام تیم فنی مستقر در محل مشتری یا فراهم کردن دسترسی جهت پشتیبانی از راه دور، وجود دارد.